Sdílet prostřednictvím

Serverové šifrovací sady a požadavky TLS

  • Článek

Šifrovací sada je sada kryptografických algoritmů. Slouží k šifrování zpráv mezi klienty / servery a jinými servery. Dataverse používá nejnovější šifrovací sady TLS 1.2 schválené Microsoft Crypto Board.

Před navázáním zabezpečeného připojení je protokol a šifra sjednána mezi serverem a klientem na základě dostupnosti na obou stranách.

Můžete použít své místní servery k integraci s následujícími službami Dataverse:

  1. Synchronizace e-mailů ze serveru Exchange.
  2. Spouštění odchozích modulů plug-in.
  3. Spuštění nativních / místních klientů pro přístup k vašim prostředím.

Aby bylo zajištěno bezpečné připojení, musí být váš server vybaven následujícími zásadami zabezpečení:

  1. Dodržování předpisů protokolu TLS (Transport Layer Security) 1.2

  2. Alespoň jedna z následujících šifer:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Důležité

    Starší TLS 1.0 & 1.1 a šifrovací sady (například TLS_RSA) byly vyřazeny; viz oznámení. Vaše servery musí mít výše uvedený bezpečnostní protokol, aby mohly pokračovat v běhu služby Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 a TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 se mohou po provedení testu sestavy SSL jevit jako slabé. To je způsobeno známými útoky na implementaci OpenSSL. Dataverse používá implementaci Windows, která není založena na OpenSSL, a proto není zranitelná.

    Můžete buď upgradovat verze pro Windows nebo aktualizovat Registr TLS systému Windows, abyste měli jistotu, že váš serverový koncový bod podporuje jednu z těchto šifer.

    Chcete-li ověřit, zda váš server vyhovuje bezpečnostnímu protokolu, můžete provést test například pomocí šifrovacího a skenovacího nástroje TLS:

    1. Otestujte svůj název hostitele pomocí SSLLABS nebo
    2. Naskenujte server pomocí NMAP

  3. Byly nainstalovány následující certifikáty kořenové CA. Instalujte pouze ty, které odpovídají vašemu cloudovému prostředí.

    Pro veřejnost/PROD

    Certifikační autorita Datum vypršení platnosti Sériové číslo / Kryptografický otisk Stažení
    DigiCert Global Root G2 15. ledna 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15. ledna 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft Kořenová certifikační autorita ECC 2017 18. července 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft Kořenová certifikační autorita RSA 2017 18. července 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Pro Fairfax/Arlington/US Gov Cloud

    Certifikační autorita Datum vypršení platnosti Sériové číslo / Kryptografický otisk Stažení
    DigiCert Global Root CA 10. listopadu 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22. září 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22. září 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Pro Mooncake/Gallatin/China Gov Cloud

    Certifikační autorita Datum vypršení platnosti Sériové číslo / Kryptografický otisk Stažení
    DigiCert Global Root CA 10. listopadu 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4. března 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Proč je tato potřeba?

    Viz Dokumentace norem TLS 1.2 – oddíl 7.4.2 – certificate-list.

Proč certifikáty SSL/TLS Dataverse používají zástupné domény?

Zástupné certifikáty SSL/TLS jsou záměrné, protože z každého hostitelského serveru musí být dostupné stovky adres URL organizací. Certifikáty SSL/TSL se stovkami alternativních názvů subjektů (SAN) mají negativní dopad na některé webové klienty a prohlížeče. Jedná se o omezení infrastruktury založené na povaze nabídky softwaru jako služby (SAAS), která hostuje více zákaznických organizací na sadě sdílené infrastruktury.

Viz také

Připojte se k serveru Exchange (místní)
Dynamics 365 synchronizace na straně serveru
Pokyny TLS serveru Exchange
Cipher Suites v TLS/SSL (Schannel SSP)
Správa dopravy vrstva Zabezpečení (TLS)
Jak povolit TLS 1.2